EmailPostDeliveryEvents
适用于:
- Microsoft Defender XDR
EmailPostDeliveryEvents
高级搜寻架构中的表包含有关 Microsoft 365 处理的电子邮件的传递后操作的信息。 使用此参考来构建从此表返回信息的查询。
提示
有关表支持的事件类型 (ActionType
值) 的详细信息,请使用 Microsoft Defender XDR 中提供的内置架构参考。
若要获取有关单个电子邮件的详细信息,还可以使用 EmailEvents
、 EmailAttachmentInfo
和 EmailUrlInfo
表。 有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考。
重要
某些信息与预发布的产品有关,在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
列名称 | 数据类型 | 说明 |
---|---|---|
Timestamp |
datetime |
记录事件的日期和时间 |
NetworkMessageId |
string |
由 Microsoft 365 生成的电子邮件的唯一标识符 |
InternetMessageId |
string |
发送电子邮件系统设置的电子邮件的面向公众的标识符 |
Action |
string |
对实体执行的操作 |
ActionType |
string |
触发事件的活动类型:手动修正、网络钓鱼 ZAP、恶意软件 ZAP |
ActionTrigger |
string |
指示操作是由管理员手动 (触发的,还是通过批准挂起的自动操作) 触发的,还是由某些特殊机制(如 ZAP 或动态交付)触发的 |
ActionResult |
string |
操作的结果 |
RecipientEmailAddress |
string |
收件人的电子邮件地址,或通讯组列表扩展后收件人的电子邮件地址 |
DeliveryLocation |
string |
发送电子邮件的位置:收件箱/文件夹、本地/外部、垃圾箱、隔离区、已失败、已弃用、已删除的邮件 |
ThreatTypes |
string |
电子邮件筛选堆栈中关于电子邮件是否包含恶意软件、网络钓鱼或其他威胁的判断 |
DetectionMethods |
string |
用于检测电子邮件中发现的恶意软件、网络钓鱼或其他威胁的方法 |
ReportId |
string |
基于重复计数器的事件标识符。 若要标识唯一事件,此列必须与 DeviceName 和 Timestamp 列结合使用。 |
支持的事件类型
此表捕获具有以下 ActionType
值的事件:
- 手动修正 - 管理员在将电子邮件传递到用户邮箱后手动对邮件执行了操作。 这包括通过 威胁资源管理器 手动执行的操作,或批准 自动调查和响应 (AIR) 操作。
- 网络钓鱼 ZAP - 零小时自动清除 (ZAP) 在发送网络钓鱼电子邮件后采取措施。
- 恶意软件 ZAP – 零小时自动清除 (ZAP) 在传递后发现包含恶意软件的电子邮件采取了操作。
相关主题
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。